若要启用专用链接配置,专用链接 IP 配置需要一个不同于应用程序网关子网的子网。 专用链接必须使用不包含任何应用程序网关的子网。 子网大小根据部署所需的连接数来确定。 分配给该子网的每个 IP 地址可确保可在单个时间点通过专用链接建立 64K 并发 TCP 连接。 分配更多 IP 地址可允许通过专用链接建立更多连接。 例如:n * 64K;其中 n 是要预配的 IP 地址数。
在“应用程序网关”属性边栏选项卡中,获取并记下资源 ID;如果在不同的 Microsoft Entra 租户中设置专用终结点,则需要用到此 ID。
配置专用终结点
专用终结点是一个网络接口,它使用虚拟网络中的专用 IP 地址,该虚拟网络中包含希望连接到应用程序网关的客户端。 每个客户端都使用专用终结点的专用 IP 地址将流量通过隧道传送到应用程序网关。 若要创建专用终结点,请完成以下步骤:
选择“专用终结点连接”选项卡。
选择“创建”。
在“基本信息”选项卡上,为专用终结点配置资源组、名称和区域。 选择“下一步”。
在“资源”选项卡上,选择“下一步”。
在“虚拟网络”选项卡上,配置一个应为其预配专用终结点网络接口的虚拟网络和子网。 配置专用终结点是应具有动态 IP 地址还是应具有静态 IP 地址。 选择“下一步”。
在“标记”选项卡上,可以选择配置资源标记。 选择“下一步”。
选择“创建”。
注意
如果在用于创建专用终结点的“资源”选项卡上尝试选择“目标子资源”时缺少公共或专用 IP 配置资源,请确保侦听器正在积极利用你指定的前端 IP 配置。 没有关联侦听器的前端 IP 配置不会显示为“目标子资源”。
注意
如果从另一个租户中预配“专用终结点”,则需要使用 Azure 应用程序网关资源 ID 以及前端 IP 配置的名称作为目标子资源。 例如,如果我有一个与应用程序网关关联的专用 IP,并且该专用 IP 在门户的前端 IP 配置中列出的名称为 PrivateFrontEndIP,则目标子资源值将为:PrivateFrontEndIP。
# Disable Private Link Service Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
--name AppGW-PL-Subnet \
--vnet-name AppGW-PL-CLI-VNET \
--resource-group AppGW-PL-CLI-RG \
--disable-private-link-service-network-policies true
# Get Application Gateway Frontend IP Name
az network application-gateway frontend-ip list \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Add a new Private Link configuration and associate it with an existing Frontend IP
az network application-gateway private-link add \
--frontend-ip appGwPublicFrontendIp \
--name privateLinkConfig01 \
--subnet /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/virtualNetworks/AppGW-PL-CLI-VNET/subnets/AppGW-PL-Subnet \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Get Private Link resource ID
az network application-gateway private-link list \
--gateway-name AppGW-PL-CLI \
--resource-group AppGW-PL-CLI-RG
# Disable Private Endpoint Network Policies
# https://learn.microsoft.com/azure/private-link/disable-private-endpoint-network-policy
az network vnet subnet update \
--name MySubnet \
--vnet-name AppGW-PL-Endpoint-CLI-VNET \
--resource-group AppGW-PL-Endpoint-CLI-RG \
--disable-private-endpoint-network-policies true
# Create Private Link Endpoint - Group ID is the same as the frontend IP configuration
az network private-endpoint create \
--name AppGWPrivateEndpoint \
--resource-group AppGW-PL-Endpoint-CLI-RG \
--vnet-name AppGW-PL-Endpoint-CLI-VNET \
--subnet MySubnet \
--group-id appGwPublicFrontendIp \
--private-connection-resource-id /subscriptions/XXXXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX/resourceGroups/AppGW-PL-CLI-RG/providers/Microsoft.Network/applicationGateways/AppGW-PL-CLI \
--connection-name AppGW-PL-Connection